解锁尊贵会员之门,开启个性化服务新纪元。享受专属优惠,畅游无界限的数字世界,让每一刻都成为不凡体验。
站长实战:Cloudflare 从接入到加速与安全配置全流程教程
发布时间:23小时前
阅读量:4
Cloudflare 部署完整教程|适合站长
对于站长来说,网站上线之后最重要的事情,除了持续更新内容和优化体验之外,就是保证网站能够稳定、快速、安全地访问。很多新手站长在建站初期,往往只关注服务器、域名和程序本身,却忽略了 DNS 解析、CDN 加速、HTTPS、安全防护、缓存策略等基础设施配置。事实上,这些环节会直接影响网站访问速度、搜索引擎收录、用户体验以及服务器成本。
Cloudflare 是目前全球使用非常广泛的一站式网站性能与安全服务平台。它提供 DNS 托管、CDN 加速、免费 SSL 证书、DDoS 防护、防火墙规则、缓存优化、图片优化、访问分析等功能。对于个人站长、中小企业网站、博客、资源站、外贸网站来说,Cloudflare 都是非常值得使用的工具。
本文将以站长视角,完整讲解 Cloudflare 的部署流程、基础设置、常用功能、优化建议以及注意事项,帮助你从零开始完成 Cloudflare 接入。
一、Cloudflare 是什么?
Cloudflare 可以简单理解为一个位于用户和源站服务器之间的“中间层”。
当用户访问你的网站时,请求并不是直接到达你的服务器,而是先经过 Cloudflare 的全球节点。Cloudflare 会根据你的配置,对请求进行缓存、加速、安全检测,然后再决定是否回源到你的服务器。
例如:
用户浏览器 → Cloudflare 节点 → 你的源站服务器使用 Cloudflare 后,可以获得以下好处:
-
DNS 解析更稳定 Cloudflare 的 DNS 服务速度快、稳定性高,适合替代普通域名商自带 DNS。
-
CDN 全球加速 静态资源可以缓存到 Cloudflare 全球节点,用户访问时就近获取资源。
-
免费 HTTPS Cloudflare 提供免费 SSL/TLS 证书,方便站长快速启用 HTTPS。
-
隐藏源站 IP 开启代理后,访客通常只能看到 Cloudflare 节点 IP,从而降低源站暴露风险。
-
安全防护 可抵御部分恶意扫描、CC 攻击、DDoS 攻击、爬虫请求等。
-
节省服务器流量 静态资源由 Cloudflare 缓存后,源站压力会下降。
-
适合多种站点 WordPress、Typecho、Discuz、Z-Blog、Halo、静态网站、企业官网等都可以使用。
二、部署 Cloudflare 前的准备工作
在正式接入之前,你需要准备以下内容:
1. 一个已经注册的域名
例如:
example.com域名可以在阿里云、腾讯云、Namecheap、GoDaddy、Namesilo、Dynadot 等平台购买。
2. 一个正常运行的网站
你的网站需要已经部署在服务器上,并且能够通过源站 IP 或临时域名访问。
例如:
http://你的服务器IP或者:
http://example.com3. 能修改域名 Nameserver
Cloudflare 接入域名时,一般需要修改域名的 NS 服务器。因此你必须拥有域名管理权限。
4. 了解当前 DNS 记录
接入前建议记录当前域名 DNS 配置,例如:
| 类型 | 主机记录 | 记录值 |
|---|---|---|
| A | @ | 服务器 IP |
| A | www | 服务器 IP |
| CNAME | blog | example.com |
| MX | @ | 邮箱服务器 |
| TXT | @ | SPF/DKIM 验证 |
如果你的域名已经配置了企业邮箱、第三方验证、子域名服务,务必提前备份 DNS 记录,避免切换后影响邮件或其他业务。
三、注册 Cloudflare 账号
打开 Cloudflare 官网:
https://www.cloudflare.com/点击右上角 Sign Up 注册账号。
注册流程比较简单:
- 输入邮箱;
- 设置密码;
- 完成邮箱验证;
- 登录 Cloudflare 控制台。
建议使用长期稳定的邮箱注册,例如 Gmail、Outlook、企业邮箱等。Cloudflare 账号涉及域名安全,不建议使用临时邮箱。
四、添加网站到 Cloudflare
登录 Cloudflare 后,点击控制台中的 Add a website 或 添加站点。
输入你的根域名,例如:
example.com注意:这里一般填写根域名,不要填写 www.example.com,也不要填写 https://example.com。
正确示例:
example.com错误示例:
https://example.com
www.example.com输入域名后,Cloudflare 会扫描当前 DNS 记录。
五、选择 Cloudflare 套餐
Cloudflare 提供多个套餐,包括:
- Free 免费版
- Pro 专业版
- Business 商业版
- Enterprise 企业版
对于大多数个人站长和普通网站来说,Free 免费版已经足够使用。
免费版包含:
- 免费 DNS
- 免费 CDN
- 免费 SSL
- 基础 DDoS 防护
- 基础防火墙
- 缓存功能
- 页面规则或规则配置能力
- 基础访问分析
如果你的网站是企业官网、跨境电商、大流量站点,后续可以考虑 Pro 或 Business,但不建议新手一开始就购买付费套餐。先用免费版熟悉功能,再根据实际需求升级。
六、检查 DNS 记录
Cloudflare 会自动扫描你的 DNS 记录,但自动扫描并不总是完整,因此你需要手动检查。
常见 DNS 记录如下:
1. 根域名 A 记录
类型:A
名称:@
内容:你的服务器 IP
代理状态:开启或关闭@ 表示根域名,例如:
example.com2. www 子域名记录
可以使用 A 记录:
类型:A
名称:www
内容:你的服务器 IP也可以使用 CNAME:
类型:CNAME
名称:www
内容:example.com3. 邮箱相关记录
如果你使用企业邮箱,需要保留 MX、TXT、CNAME 等记录。
例如:
类型:MX
名称:@
内容:mail.example.com类型:TXT
名称:@
内容:v=spf1 include:xxx.com ~all邮箱相关记录通常不要开启 Cloudflare 代理,保持 DNS only 即可。
七、理解 Cloudflare 的“小云朵”代理状态
Cloudflare DNS 页面中,每条记录旁边通常有一个云朵图标:
1. 橙色云朵:Proxied
表示请求会经过 Cloudflare 代理。
效果:
- 启用 CDN;
- 启用安全防护;
- 隐藏源站 IP;
- 可使用缓存规则、防火墙规则;
- 访问流量经过 Cloudflare 节点。
适合:
- 网站主域名;
- www 域名;
- 静态资源域名;
- 博客前台页面。
2. 灰色云朵:DNS only
表示只使用 Cloudflare DNS 解析,不走代理。
效果:
- 不启用 CDN;
- 不隐藏源站 IP;
- 不应用大部分 Cloudflare 安全与缓存功能;
- 用户直接访问源站服务器。
适合:
- 邮箱服务;
- FTP;
- SSH;
- 面板登录域名;
- 某些 API 服务;
- 不支持代理的端口服务。
对于普通网站,建议:
example.com:开启橙色云朵
www.example.com:开启橙色云朵
mail.example.com:关闭代理,灰色云朵八、修改域名 Nameserver
添加站点后,Cloudflare 会分配两个 Nameserver,例如:
ada.ns.cloudflare.com
mark.ns.cloudflare.com你需要到域名注册商后台,把原来的 NS 修改为 Cloudflare 提供的 NS。
以通用流程为例:
- 登录你的域名注册商后台;
- 找到域名管理;
- 找到 DNS 服务器 / Nameserver 设置;
- 选择自定义 DNS;
- 删除原有 NS;
- 填入 Cloudflare 提供的两个 NS;
- 保存设置。
修改后等待生效。
NS 生效时间
通常需要:
几分钟到 24 小时少数情况下可能需要 48 小时。
你可以使用以下方式检查:
https://www.whatsmydns.net/查询 NS 记录是否已经变成 Cloudflare。
Cloudflare 控制台中如果显示:
Active说明站点已经成功接入。
九、配置 SSL/TLS
接入 Cloudflare 后,HTTPS 配置非常重要。如果设置错误,可能会出现重定向循环、证书错误、访问失败等问题。
进入 Cloudflare 控制台:
站点 → SSL/TLS → Overview你会看到几个模式:
1. Off
不启用 HTTPS,不推荐。
2. Flexible
用户到 Cloudflare 使用 HTTPS,但 Cloudflare 到源站使用 HTTP。
这种模式虽然容易启用,但不够安全,并且容易造成 WordPress 等程序出现重定向问题。
不推荐长期使用。
3. Full
用户到 Cloudflare 使用 HTTPS,Cloudflare 到源站也使用 HTTPS,但不严格验证源站证书。
适合源站有自签证书或普通证书的情况。
4. Full Strict
用户到 Cloudflare 使用 HTTPS,Cloudflare 到源站使用 HTTPS,并严格验证源站证书有效性。
这是最推荐的模式。
推荐配置:
SSL/TLS 模式:Full (strict)但前提是你的源站服务器必须安装有效 SSL 证书。
十、为源站安装 SSL 证书
如果你的服务器已经安装了 Let’s Encrypt、ZeroSSL、商业证书,可以直接使用 Full Strict。
如果没有证书,可以使用 Cloudflare Origin Certificate。
1. 创建源站证书
路径:
SSL/TLS → Origin Server → Create Certificate选择:
- 使用 Cloudflare 生成私钥和 CSR;
- 证书有效期可选择 15 年;
- 域名填写
example.com和*.example.com。
生成后会得到:
- Origin Certificate;
- Private Key。
你需要把它们保存到服务器。
2. Nginx 配置示例
假设证书路径为:
/etc/nginx/ssl/example.com.pem
/etc/nginx/ssl/example.com.keyNginx 配置示例:
server {
listen 443 ssl http2;
server_name example.com www.example.com;
ssl_certificate /etc/nginx/ssl/example.com.pem;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
root /www/wwwroot/example.com;
index index.php index.html index.htm;
location / {
try_files $uri $uri/ /index.php?$args;
}
}然后测试并重载 Nginx:
nginx -t
systemctl reload nginx3. Apache 配置示例
ServerName example.com
ServerAlias www.example.com
DocumentRoot /var/www/example.com
SSLEngine on
SSLCertificateFile /etc/ssl/example.com.pem
SSLCertificateKeyFile /etc/ssl/example.com.key
重启 Apache:
systemctl restart apache2十一、开启强制 HTTPS
当 SSL 配置正常后,建议开启强制 HTTPS。
路径:
SSL/TLS → Edge Certificates开启:
Always Use HTTPS作用是将 HTTP 自动跳转到 HTTPS。
例如:
http://example.com自动跳转到:
https://example.com同时建议开启:
Automatic HTTPS Rewrites它可以尽量修复页面中的 HTTP 混合内容问题,例如图片、CSS、JS 使用了 HTTP 链接导致浏览器提示“不安全”。
十二、配置缓存策略
Cloudflare 默认会缓存静态资源,例如:
- 图片;
- CSS;
- JavaScript;
- 字体;
- PDF;
- 视频文件等。
但默认情况下,HTML 页面通常不会被完整缓存。对于动态网站,这样比较安全;对于静态网站,可以进一步优化。
进入:
Caching → Configuration建议设置:
1. Browser Cache TTL
浏览器缓存时间,可设置为:
4 hours、1 day、1 month普通网站建议:
4 hours 或 1 day静态资源稳定的网站可以设置更长。
2. Caching Level
建议使用:
Standard不要随意选择忽略查询字符串,否则可能导致动态页面异常。
3. Always Online
可以开启。源站短暂不可用时,Cloudflare 可能会展示缓存页面。
十三、为 WordPress 配置 Cloudflare
如果你使用 WordPress,建议安装 Cloudflare 官方插件或缓存插件。
推荐插件
- Cloudflare 官方插件
- WP Rocket
- LiteSpeed Cache
- W3 Total Cache
- Super Page Cache for Cloudflare
如果你想让 WordPress 页面也被 Cloudflare 缓存,可以使用支持 Cache Everything 的插件。但要注意登录用户、后台页面、购物车页面不能缓存,否则会出现用户状态错乱。
WordPress 常见排除路径
以下路径不建议缓存:
/wp-admin/*
/wp-login.php
/cart/*
/checkout/*
/my-account/*
/?s=*如果是 WooCommerce 网站,必须谨慎配置缓存规则。
十四、设置页面规则或缓存规则
Cloudflare 旧版常用 Page Rules,新版更推荐使用 Rules。
常见规则示例:
1. 后台不缓存
规则匹配:
example.com/wp-admin/*设置:
Cache Level: Bypass
Security Level: High2. 登录页面不缓存
匹配:
example.com/wp-login.php*设置:
Cache Level: Bypass3. 静态资源长缓存
匹配:
example.com/wp-content/uploads/*设置:
Browser Cache TTL: 1 month
Edge Cache TTL: 1 month4. 全站强制 HTTPS
如果没有开启 Always Use HTTPS,也可通过规则实现:
http://*example.com/*跳转到:
https://example.com/$1十五、开启 Brotli 压缩
进入:
Speed → Optimization开启:
BrotliBrotli 是一种比 Gzip 更高效的压缩算法,可以减少 HTML、CSS、JS 等文本资源体积,提高页面加载速度。
建议开启。
十六、Auto Minify 是否开启?
Cloudflare 提供 Auto Minify,可压缩:
- JavaScript;
- CSS;
- HTML。
路径:
Speed → Optimization是否开启要看网站情况。
建议:
- HTML:可以开启;
- CSS:多数情况下可以开启;
- JS:谨慎开启。
如果你的网站开启 JS 压缩后出现前端报错、菜单失效、轮播图不动、后台异常,则关闭 JS Minify。
如果你已经使用 WordPress 缓存插件进行压缩合并,Cloudflare 这里不建议重复压缩,避免冲突。
十七、Rocket Loader 是否开启?
Rocket Loader 可以异步加载 JavaScript,提高某些页面的渲染速度。
但它也可能导致:
- 广告代码异常;
- 统计代码延迟;
- 主题 JS 失效;
- 表单无法提交;
- 后台功能异常。
对于普通站长,建议:
默认关闭 Rocket Loader如果你熟悉前端调试,可以测试开启。
十八、防火墙与安全设置
Cloudflare 的安全功能非常实用,尤其适合容易被扫描、恶意爬虫访问的网站。
进入:
Security → Settings1. Security Level
建议设置:
Medium如果网站经常被攻击,可以临时设置为 High。
2. Bot Fight Mode
可开启基础机器人防护,但有时可能影响正常爬虫或接口请求。
如果你的网站依赖搜索引擎收录,一般不用过度拦截。
3. WAF 自定义规则
你可以创建防火墙规则,例如限制后台路径访问。
示例:保护 WordPress 登录页
匹配条件:
URI Path contains /wp-login.php动作:
Managed Challenge效果:访问登录页时触发 Cloudflare 挑战验证,可减少爆破登录。
示例:限制 wp-admin 非本地访问
如果你有固定 IP,可以设置:
URI Path contains /wp-admin
AND IP Source Address does not equal 你的IP动作:
Block这样可以极大提高后台安全性。
十九、隐藏源站 IP 的注意事项
很多站长使用 Cloudflare 的目的之一是隐藏服务器真实 IP。但仅仅开启橙色云朵并不代表完全安全。
你还需要注意:
1. 不要让源站 IP 出现在 DNS 历史记录中
如果你之前直接解析过源站 IP,攻击者可能通过历史 DNS 记录查询到。
2. 邮箱服务不要和网站同服务器
如果 mail.example.com 指向同一台服务器 IP,别人可以通过 mail 子域名找到源站 IP。
3. 服务器防火墙只允许 Cloudflare IP 访问
这是较安全的做法。
你可以在服务器防火墙中只允许 Cloudflare 官方 IP 段访问 80 和 443 端口。
Cloudflare IP 列表:
https://www.cloudflare.com/ips/这样即使别人知道源站 IP,也无法直接访问网站。
4. 不要在页面源码中暴露源站地址
例如图片、接口、下载链接不要直接使用服务器 IP。
二十、真实访客 IP 配置
使用 Cloudflare 后,你的服务器日志中可能看到的都是 Cloudflare 节点 IP,而不是真实用户 IP。
需要配置恢复真实 IP。
Nginx 配置示例
在 Nginx 中添加 Cloudflare IP 段,并使用:
real_ip_header CF-Connecting-IP;示例:
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
real_ip_header CF-Connecting-IP;完整 IP 段请以 Cloudflare 官方页面为准。
如果使用宝塔面板,也可以在网站配置或 Nginx 全局配置中添加真实 IP 设置。
二十一、常见问题与解决方法
1. 网站出现“重定向次数过多”
常见原因是 SSL 模式设置为 Flexible,而源站或程序又强制 HTTPS。
解决方法:
将 SSL/TLS 模式改为 Full 或 Full Strict并确保源站安装 SSL 证书。
2. 网站打不开,提示 521
521 表示 Cloudflare 无法连接源站服务器。
可能原因:
- 源站服务器宕机;
- 防火墙拦截 Cloudflare IP;
- Web 服务未启动;
- 80/443 端口未开放。
解决:
systemctl status nginx
systemctl status apache2检查服务器安全组和防火墙。
3. 网站提示 522
522 表示连接源站超时。
可能原因:
- 服务器负载过高;
- 网络不稳定;
- 源站防火墙拦截;
- 程序响应太慢。
解决:
- 检查服务器负载;
- 优化数据库;
- 检查安全组;
- 查看 Nginx/Apache 错误日志。
4. 网站样式错乱
可能原因:
- CSS/JS 被压缩导致异常;
- 缓存旧文件;
- 混合内容问题;
- Rocket Loader 冲突。
解决:
- 清空 Cloudflare 缓存;
- 关闭 Auto Minify;
- 关闭 Rocket Loader;
- 检查浏览器控制台错误。
5. 后台登录异常
可能是缓存规则错误,把登录页面或后台页面缓存了。
解决:
/wp-admin/*
/wp-login.php设置为绕过缓存。
二十二、清理 Cloudflare 缓存
当你更新网站内容、CSS、JS 或图片后,如果前台仍显示旧内容,可以清理缓存。
路径:
Caching → Configuration → Purge Cache有两种方式:
1. Purge Everything
清空全部缓存。
适合大规模更新,但会导致短时间内回源增加。
2. Custom Purge
只清理指定 URL。
例如:
https://example.com/style.css更适合日常维护。
建议站长不要频繁全站清缓存,尤其是流量较大的网站,否则会增加服务器压力。
二十三、Cloudflare 推荐基础配置清单
对于大多数普通站长,可以参考以下配置:
| 项目 | 推荐设置 |
|---|---|
| DNS | 主域名和 www 开启橙色云朵 |
| SSL/TLS | Full Strict |
| Always Use HTTPS | 开启 |
| Automatic HTTPS Rewrites | 开启 |
| Brotli | 开启 |
| Auto Minify | HTML/CSS 可开,JS 谨慎 |
| Rocket Loader | 默认关闭 |
| Security Level | Medium |
| Bot Fight Mode | 视情况开启 |
| 后台路径 | 绕过缓存 |
| 登录路径 | 增加 Challenge |
| 邮箱记录 | DNS only |
| 源站防火墙 | 仅允许 Cloudflare IP 访问 80/443 |
二十四、站长使用 Cloudflare 的最佳实践
1. 不要盲目追求所有功能都开启
Cloudflare 功能很多,但并不是开启越多越好。尤其是压缩、合并、异步加载、缓存 HTML 等功能,可能会和网站程序、主题、插件冲突。
建议每开启一个功能,都测试:
- 首页是否正常;
- 文章页是否正常;
- 登录是否正常;
- 搜索是否正常;
- 表单是否正常;
- 移动端是否正常;
- 搜索引擎抓取是否正常。
2. 重要网站先在低峰期配置
如果网站已经有稳定流量,建议在访问低峰期切换 NS 和修改缓存规则,避免配置错误影响用户。
3. 定期查看分析数据
Cloudflare 提供流量分析、安全事件、缓存命中率等数据。
重点关注:
- 请求数量;
- 缓存命中率;
- 被拦截请求;
- 5xx 错误;
- 带宽节省情况。
如果缓存命中率过低,说明静态资源缓存策略可能需要优化。
4. 保留源站备份
Cloudflare 不是网站备份工具,它只是代理、缓存和安全服务。你仍然需要定期备份:
- 网站文件;
- 数据库;
- 配置文件;
- SSL 证书;
- DNS 记录。
5. 不要把 Cloudflare 当作万能防御
Cloudflare 免费版可以抵御很多常见攻击,但不是万能的。如果遇到持续大规模攻击,仍需要结合服务器防火墙、限速规则、WAF、程序安全加固、登录验证等方式综合处理。
二十五、总结
Cloudflare 对站长来说是一个非常实用的基础设施工具。通过它,你可以快速完成 DNS 托管、HTTPS 部署、CDN 加速、安全防护和缓存优化。对于个人博客、内容站、企业官网、资源站以及外贸网站而言,Cloudflare 免费版已经能够满足大部分需求。
完整部署流程可以概括为:
注册 Cloudflare 账号
→ 添加域名
→ 检查 DNS 记录
→ 修改域名 NS
→ 等待站点 Active
→ 配置 SSL/TLS 为 Full Strict
→ 开启 HTTPS
→ 设置缓存与安全规则
→ 测试网站访问
→ 持续优化如果你是新手站长,建议先完成最基础的配置:DNS 接入、橙色云朵代理、Full Strict SSL、强制 HTTPS、Brotli 压缩、后台绕过缓存。等网站稳定运行后,再逐步尝试更高级的缓存规则、防火墙规则和性能优化。
正确使用 Cloudflare,可以让你的网站访问更快、更加安全,也能在一定程度上降低源站服务器压力。对于长期运营网站的站长来说,这是非常值得掌握的一项基础技能。
